Przewodnik po zabezpieczaniu komputera: skąd tyle aktualizacji?

Przewodnik po zabezpieczaniu komputera: skąd tyle aktualizacji?28.01.2020 05:45
Skąd tyle aktualizacji? (fot. Pexels)

Poza nieszczęsnymi antywirusami i zaporą, o których (najpierw bardzo ogólnie) dyskutowaliśmy w poprzedniej części, istnieje jeszcze szereg innych zagadnień związanych z "krokiem zerowym" w zabezpieczaniu komputerów osobistych. Jak być może łatwo się już domyślić po zapoznaniu się z pierwszą częścią, są one nieco istotniejsze, niż tandem AV+firewall. Na drodze do nich stoi jednak pewna ważna i niezwykle kontrowersyjna kwestia: aktualizacje oprogramowania.

O aktualizacje bardzo łatwo się pokłócić, jest to temat wywołujący gorączkowe dyskusje, które znacznie częściej niż zwykle kończą się strumieniami epitetów, emfatycznymi wykrzyknieniami i erotycznymi insynuacjami pod adresem matek adwersarzy (stan rzeczy znany na podstawie doświadczeń z moderowaniem komentarzy). Spróbujmy podejść do sprawy nieco spokojniej.

Chwilę po słynnym Niebieskim Ekranie podczas demo Windows 98
Chwilę po słynnym Niebieskim Ekranie podczas demo Windows 98

Błędów nie da się uniknąć

Zacznijmy od podstaw. Każde rozbudowane oprogramowanie zawiera błędy. Programy są pisane przez ludzi, toteż obecność błędów jest nieunikniona. Wbrew pozorom ich rozrzut jest niezależny od tego, czy oprogramowanie jest otwarte czy zamknięte. Errata publikowana przez Red Hata i Dockera często dorównuje objętością i powagą notatkom z Microsoftu, VMWare i Cisco. Błędów po prostu nie da się uniknąć, a rynek zorientowany na maksymalizację zysków sprawia, że oprogramowanie tworzy się coraz szybciej, co mimo rosnącego zaawansowania tzw. dobrych praktyk miewa dramatyczny wpływ na wydajność. Odmawianie aktualizacji w takich przypadkach nie jest aktem odwagi ani anarchistycznego buntu. Nie jest zwycięstwem nad drapieżnym kapitalizmem. Nikt takich manifestów nie dostrzega, a my możemy sobie zrobić niezłą krzywdę.

Zawsze online

Konieczność aktualizowania oprogramowania jest coraz pilniejsza, ponieważ dzisiejsze oprogramowanie robi więcej, niż dawne. Ćwierć wieku temu, komputery osobiste miały ograniczony wachlarz zastosowań, a w internecie pojawiały się tylko na krótki czas, ograniczany wysokością rachunku telefonicznego. W dodatku sprzęt był na tyle drogi i trudny w produkcji (relatywnie, rzecz jasna), że nikomu nie przeszkadzały zworki, brak wybudzania przez sieć LAN, tekstowy BIOS i nieistniejące narzędzia do zdalnego zarządzania sprzętem. Dziś jest inaczej.

Red Hat Errata i jej wyszukiwarka
Red Hat Errata i jej wyszukiwarka

Większość używanych przez nas dziś urządzeń to sprzęt klasy "zawsze połączony" (always connected), posiadający swój aktywny "stan" podczas uruchomienia (stateful). Oznacza to nie tylko większe ryzyko obecności błędów, ale także potencjalnie niższy poziom zabezpieczeń, często w absurdalnym kształcie typu "włamania do sieci przez telewizor". Ponadto, bardzo często producenci sprzętu świadczą wsparcie techniczne wyłącznie dla modeli ze zaktualizowanym oprogramowaniem.

Firmware i systemy

A to dopiero mowa o oprogramowaniu (firmware) w samym sprzęcie! Są jeszcze systemy operacyjne oraz oprogramowanie w nim. Windows również jest aktualizowany co miesiąc i choć większości łatanych dziur nie da się wykorzystać z tego samego powodu, dla którego wiara w zaporę sieciową jest przesadzona, to wśród poprawek i tak często znajdują się łaty dla dziur, do których wykorzystania wystarczy tylko przeglądarka internetowa i trochę kulawego szczęścia.

Czasy się zmieniły. Niegdyś układy na płycie głównej stosowały niższą integrację i nie wymagały aktualizacji mikrokodu (fot. Kamil Dudek)
Czasy się zmieniły. Niegdyś układy na płycie głównej stosowały niższą integrację i nie wymagały aktualizacji mikrokodu (fot. Kamil Dudek)

Istnieje pokaźne grono ludzi odradzających aktualizowanie Windowsa. Niektórzy z nich wzbraniają się jedynie przed instalowaniem nowej wersji Windows 10 co pół roku, inni jednak wykazują o wiele bardziej ortodoksyjny pogląd, jakim jest całkowite wyłączenie aktualizacji w Windows. Bardzo często są to także zatwardziali zwolennicy Windows 7. W ich opinii, aktualizowanie systemu przynosi więcej szkody niż pożytku, a rzekomo łatane podatności są dziurami o tak nierealistycznych scenariuszach wykorzystania, że nie warto tracić na nie czasu. Ach, no i oczywiście to wszystko jest przyprawione zwyczajową psychozą w kwestii telemetrii i prywatności. Bardzo trudno z tym dyskutować.

Słuszne obawy, mylne wnioski

Natychmiast dostrzegalny jest paralelizm owego myślenia z poglądami ruchu antyszczepionkowego. Ponieważ ktoś gdzieś miał jakiś niezaprzeczalny, poważny, acz rzadki problem, właściwą reakcją miałoby rzekomo być niepodejmowanie żadnych szczepień, nigdy. I jakimś cudem nie ma tu miejsca na kompromis: nie ma mowy o tym, żeby nie stosować przeterminowanych szczepionek z przemytu i żeby kontrolować przemysł medyczny nie dając się przekupić celem przymknięcia oczu na wyniki kontroli jakości. Najwyraźniej należy otworzyć wrota piekieł, lawinowo zwiększając ryzyko zachorowania na dawno wytępione dolegliwości, narażając przy okazji zdrowie osób, które z takim podejściem nie mają nic wspólnego.

Windows Update
Windows Update

Dokładnie takim rodzajem motywacji jest wyłączanie Windows Update z powodu potencjalnych problemów. Nie da się zaprzeczyć, że gdzieś kiedyś komuś coś nie zadziałało. Ale odjechanie wstecz z linią wsparcia, pozostawiając tuziny, a nierzadko setki niezałatanych podatności jest naiwne i błędne. Argument "jestem wystarczająco rozsądny, żeby nic nie złapać" to już z kolei całkowite poleganie na szczęściu. Padnięcie ofiarą przestępców wykorzystujących luki w zabezpieczeniach nie musi być dowodem skrajnej głupoty. Ci ludzie zarabiają na życie oszukiwaniem innych. Za to naszym głównym zajęciem w życiu nie jest zawodowe opieranie się kolejnym formom oszustw. Pod względem uporu, druga strona zawsze będzie mieć przewagę.

Poproszę jakieś przykłady

Łatwo przytaczać ogólniki i powoływać się na teorię, która mówi że aktualizacje są z definicji potrzebne. Niestety często zachodzi konieczność skonfrontowania ich z wojującym pragmatyzmem i poglądem brzmiącym "wystarczy antywirus, poprawna konfiguracja i ostrożność". Czyżby? Zwróćmy uwagę na kilka faktów:

  • Trojan Emotet(https://www.dobreprogramy.pl/jak-wyglada-trojan-emotet,News,104207.html) nie był wykrywany przez żaden silnik antywirusowy przez ponad dobę od rozpoczęcia kampanii
  • Komponent WebMIDI(https://www.cvedetails.com/cve/CVE-2015-6792/) w Google Chrome pozwalał na zdalne wykonanie kodu w ramach procesu chrome.exe, a wywołujące problem komponenty domyślnie nie były filtrowane przez Privacy Badger, NoScript ani uBlock Origin
  • Podatność na fałszerstwo homograficzne(https://en.wikipedia.org/wiki/IDN_homograph_attack) symboli Unicode umiędzynarodowionych nazw domenowych (przepiękna nazwa!) pozwala w pewnych okolicznościach podrobić adres URL na nieodróżnialny optycznie od właściwego, co w połączeniu ze słabością CVE-2020-0601 umożliwia podstawienie całkowicie fałszywej strony internetowej, przedstawiającej się jako podpisana cyfrowo
Swoją drogą, Windows Defender pozwala też skanować pliki z wiersza poleceń!
Swoją drogą, Windows Defender pozwala też skanować pliki z wiersza poleceń!

Bezsprzecznie przed powyższymi atakami można się ustrzec, bedąc super-ostrożnym, ale czy zawsze jesteśmy stuprocentowo ostrożni i skupieni? Ja nie. Wczoraj np. włożyłem chleb do lodówki. Zakładanie, że każdemu może się zdarzyć chwila słabości nie jest, wbrew opiniom niektórych, gloryfikowaniem lenistwa i rozgrzeszaniem głupoty. A gdy przyjdzie naprawiać szkody, czy naprawdę powiemy sobie wtedy bez żalu "nie szkodzi, to przecież nauczka za to że nie byłem ostrożny!"...

Wnioski

  • Komputery są tworzone przez ludzi, a ludzie są omylni. Dlatego powstają aktualizacje, które przede wszystkim łatają błędy, a nie dodają funkcje (lub telemetrię)
  • Dzisiejsze komputery są ciągle podłączone do niezaufanej sieci, a są tak złożonymi maszynami, że zawsze mają swój \stan\
  • co znacząco rozszerza zakres aktualizacji
  • Oprogramowanie znajduje się dziś nie tylko w systemie, ale w sprzęcie, jako firmware
  • Unikanie aktualizacji z powodu woli uchronienia się przed awariami i telemetrią wypadkowo ściąga na nas większe problemy, z powodu niesprawnych zabezpieczeń
  • Obsługa techniczna zawsze oczekuje zaktualizowanego oprogramowania

Antywirus, zapora i aktualizacje to trio głównych mitów, z którymi trzeba się mierzyć podczas rozmów o bezpieczeństwie. Jak widać, do tematu podchodzimy bardzo powoli, a to ze względu na wysoką liczbę powtarzających się pytań i deklaracji na forum. W kolejnej części przejdziemy wreszcie do konkretów, czyli do aktualizacji BIOSu/UEFI oraz optymalizacji ustawień. To pierwszy komponent w kolejce do aktualizacji, często pomijany. Od niego daleka droga do złowrogich aktualizacji Windows. Musimy bowiem najpierw rozprawić się też z firmware kontrolerów i sterownikami!

Niniejszy artykuł należy do serii o zabezpieczeniu komputera, poświęconej sprzętowi, systemom operacyjnym i oprogramowaniu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na